kubernete用户隔离详细操作流程

已于 2023-09-21 10:39:21 修改
阅读量131 收藏
点赞数
分类专栏: 运维 文章标签: k8s kubernetes 用户隔离
于 2019-07-25 11:11:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42296985/article/details/97246237
版权

前言

这段时间在学习k8s集群,老大给了我个任务,实现用户的隔离,经过在网上很长一段时间的查找与学习,费了好大心思才搞定这个需求,总结发现,目前网上关于k8s用户隔离的操作实在是比较粗糙,所以只能自己写一篇博客来弥补了(顺便熟悉熟悉markdown的写法…)

需知

  • 由于内容较多,本文不会讲解k8s集群的搭建步骤,默认你已经有一套可以正常运行的k8s集群系统了哈,本文在实际操作中采用的是凝思容器系统。
  • 以下所有的操作均在集群的master1节点上运行
  • 为了方便大家的操作,本文通过设置环境变量的方法从而减少了对操作命令的修改
  • 命令的前#表示root用户执行,$表示普通用户执行
  • 建议用下面的命令设置kubectl命令自动补全
#  source <(kubectl completion bash)

好了,现在我们就正式开始用户隔离的具体操作啦!

创建普通用户

  • 本步骤用于在root用户下添加普通权限的目标用户和用户组,如果已经有目标用户则可以不用添加,这个用户用于之后的用户隔离,但是需要设置环境变量KGROUP和KUSER。
  1. 设置临时环境变量KGROUP和KUSER用来保存用户组名和用户名
#  export  KGROUP=k8s-group
#  export  KUSER=k8s-test

( 关键字段说明 用户组名:k8s-group 用户名:k8s-test )

  1. 添加用户组 ${KGROUP}
#  groupadd ${KGROUP}
  1. 在用户组下添加用户 ${KUSER},并在/home目录下为该用户创建用户目录 ${KUSER}
# useradd -s /bin/bash -d /home/${KUSER} -g ${KGROUP} -m ${KUSER}
  1. su切换至 ${KUSER} 用户,运行一次kubectl命令,由于该用户是首次创建,kubectl命令的配置还没有形成,需要执行一次kubectl命令后才能形成基本配置,为之后的操作做准备
#  su ${KUSER}
$  kubectl get pods --all-namespaces

这时,可以看见${KUSER} 用户的家目录下生成了名为 .kube 的文件夹,这个文件夹就是保存kubectl执行相关信息的文件夹。

$  cd
$  ls -a
.  ..  .bash_history  .bash_logout  .bashrc  .kube  .mkshrc  .profile
  1. 退出${KUSER} 用户,切换回root用户
$  exit

创建用户凭证

  • 网上大部分说的用户隔离就是这一步,但是之后具体的流程却没有什么太多的说明,所以让我觉得粗糙
  1. 设置临时环境变量KPATH用与保存凭证路径

注意:目录请谨慎选择,该步骤生成的用户凭证不能移动位置,且由于

最低0.47元/天 解锁文章
icewind_soilder
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
站点可靠性工程 Becoming a Site Reliability Engineer by Google
光剑书架上的书
08-04 774
2021年,是近几年里“黑五”的高峰期。这个时候,传言马斯克和SpaceX等公司正在崛起,上市股票也在快速飙涨。当下,全球各大互联网公司纷纷布局海外市场,而国内一线互联网公司却缺乏相应的团队、资源来应对这波“黑五”。2021年的最后一个月,随着新冠肺炎疫情在全球扩散,许多企业已经陆续宣布解除运营或进入灾难恢复阶段。越来越多的行业将面临新的机遇,站在风口浪尖上的互联网企业却无力应对突如其来的变局。
Docker和Kubernetes与容器自动化管理:最佳实践
光剑书架上的书
07-17 1391
Docker是一个开源的应用容器引擎,让开发者可以打包应用程序及其依赖项到一个可移植的镜像文件中,然后发布到任何流行的Linux或Windows主机上。它是一种轻量级虚拟化技术,通过提供隔离环境、软件部署和资源配额等功能,提高了应用程序的可移植作为服务(PaaS)能力。Docker具有以下主要特性:轻量级:Docker的设计目标之一就是要尽量做到简单,每种容器都只占用很少的内存和磁盘空间,因此可以在较小的服务器上运行多个容器,而不至于消耗过多的系统资源。
配置 隔离策略_为Kubernetes提供多租户隔离,可以用K8Spin
weixin_42493118的博客
12-31 365
K8Spin是一个在Kubernetes上提供多租户的项目,它提供了一种将集群上的资源分配给不同部门或团队的方法。 “整个想法是从创建一个服务开始的,它允许你在许多人之间共享Kubernetes集群。”SIGHUP的Kubernetes工程师Angel Barrera说。他与Kubernetes管理提供商Giant Swarm的解决方案工程师Pau Rosello...
K8s 实践 | 如何解决多租户集群的安全隔离问题?
CSDN云计算
01-16 2163
戳蓝字“CSDN云计算”关注我们哦!作者 |匡大虎责编 | 阿秃导读:如何解决多租户集群的安全隔离问题是企业上云的一个关键问题,本文主要介绍 Kubernetes 多租户集群的基本概念...
Kubernetes学习笔记二:Namespace,Cgroups 的隔离与应用
个人博客
12-01 543
Kubernetes学习系列文章:Kubernetes-博客专栏 今天在学习极客时间专栏:《深入剖析Kubernetes》 第五讲05 | 白话容器基础(一):从进程说开去和第六讲06 | 白话容器基础(二):隔离与限制中提到了Namespace,Cgroups。 对于 Docker 等大多数 Linux 容器来说,Cgroups 技术是用来制造约束的主要手段,而 Namespace 技术则是...
k8s calico网络原理以及多租户实现设计
热门推荐
虾米的博客
04-07 1万+
软件定义网络SDN 基础概念介绍 租户(Tenant):在网络资源上完全隔离的一个用户,在业务上可以代表一个对于网络有隔离和管理需求的部门。一个租户可以对应多个网络。 网络(Network):在业务上可以代表一个部门下的一个项目组。一个网络只能挂在一个租户下面,同时可以有多个子网。 子网(Subnet):在业务上可以代表一个部门下项目组的一个开发或测试环境。同一个net
流式数据处理中的微服务架构:使用Kubernetes和ApacheFlink
光剑书架上的书
07-16 3173
作者:禅与计算机程序设计艺术 随着业务数据的海量增长、各种新型设备、软件和互联网应用不断涌现,传统单机计算无法满足业务处理需求的同时,大数据平台的出现提供了一种更高效、更便捷的解决方案。如何在大数据平台上部署分布式、弹性的微服务架构,成为关键。本文将介绍基于Kubernetes和Apache Flink的微服务架构。 Apa
kubernetes控制器-Deployment
weixin_42816196的博客
02-02 836
Kubernetes 环境中,通过 ReplicaSet帮助我们实现集群的高可用, ReplicaSet (RS)的主要作用就是维持一组 Pod 副本的运行,保证一定数量的 Pod 在集群中正常运行,ReplicaSet 控制器会持续监听它控制的这些 Pod 的运行状态以及数量,保证应用集群的高可用;Deployment (简称为deploy) 是Kubernetes控制器的一种高级别实现,他构建于ReplicaSet控制器之上。
Kubernetes部署篇】二进制搭建K8s高可用集群1.26.15版本(超详细,可跟做)
秦子腾
08-30 1634
kube-scheduler,负责将 Pods 调度到合适的节点上,根据预定义的策略和资源的可用性,选择最适合的节点以运行 Pod,kube-scheduler 会考虑各种因素,如节点资源、Pod 需求、亲和性和反亲和性规则等,确保 Pod 在集群中均匀地分布并满足性能需求。提示:在master-1、master-2、master-3中部署组件,证书和配置的可以先在其中一台生成,然后拷贝到其他master主机中。1、创建etcd目录(master-1、master-2、master-3中都要先创建)
k8s系列】驾驭容器化未来:Kubernetes Pod的全面解析与简单实践
Young_深情不及里子的博客
08-28 1031
在当今快速发展的云计算和容器化技术领域,Kubernetes已经崭露头角,成为自动化容器操作的开源平台。在这个生态系统中,Pod作为Kubernetes的最小和最简单的单元,扮演着至关重要的角色。Pod不仅是容器的集合,更是资源共享和协同工作的基础。作为初探容器化技术的爱好者,笔者也是在k8s学习过程中根据自己的理解分享一下这块的具体内容,希望对感兴趣的小伙伴有所帮助~
kubeadm部署 Kubernetes(k8s) 高可用集群【V1.20 】
srebro | 博客
09-01 1730
kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具。
k8s系列】Kubernetes Service 深度解析:从基础到实战
最新发布
Young_深情不及里子的博客
09-02 927
在当今的云原生世界中,Kubernetes 已经成为容器编排和管理的事实标准。它提供了一种强大的方式来部署、扩展和管理容器化应用。然而,随着应用规模的扩大和复杂性的增加,如何有效地暴露和管理这些应用的网络服务成为了一个关键问题。Kubernetes Service 正是解决这一问题的利器。本文将分享一些笔者在这块的知识点学习过程,便于感兴趣的小伙伴可以快速理解Kubernetes组件的基础应用。
K8s系列之:Operator 和 Operator Framework
zhengzaifeidelushang的博客
09-02 794
Operator 是 CRD 配合 可选的 webhook 和 controller,在 Kubernetes 体系下扩展用户业务逻辑的一套机制;kubebuilder 是社区认可度很高的一种官方、标准化 Operator 框架;按照上文实战步骤,填充用户自定义代码,就可以很方便的实现一个 Operator。
k8s的组件以及安装
Hai990218的博客
08-28 1563
分为主节点和node节点,主节点就是核心,kube-apiserver大脑:所有的一切都要通过kube-apiserver来调用,所有的一切最终都要保存到etcd中,etcd就是保存集群信息的数据库,怎么部署都是靠kube-controller-manager,往哪里部署靠kube-scheduler。到了node节点上,kubelet负责真正部署、控制容器,跨主机网络之间通信通过kube-proxy,服务是由底层docker来启动的。流程图kube-apiserver先接受信息,kube-
K8S ReplicaSet
王小工小工历程
08-29 680
Kubernetes(通常拼写为 Kubernetes,而不是 kubernate)中,ReplicaSet(副本集)是一种 Kubernetes 控制器,它确保由它管理的 Pod(容器组)的数量与预期的副本数量相匹配。如果 Pod 被删除或因为某些原因终止了(比如节点故障),ReplicaSet 会自动创建新的 Pod 来替换它们,以维持预期的副本数量。ReplicaSet 是 Kubernetes 部署(Deployments)和状态集(StatefulSets)等更高级抽象背后的关键组件之一。
k8s的Service和持久化存储
cc2022928的博客
08-29 1241
service是一组Pod的逻辑集合,这一组Pod能够被Service访问到,通常是通过Label Selector实现的。
k8s集群环境搭建(一主二从--kubeadm安装)
m0_74091945的博客
08-28 601
版本:CentOS Linux release 7.5.1804 (Core)内存:2GCPU:2。
Kubernete是什么
11-19
Kubernetes是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。它提供了一种在集群中自动化部署、扩展和管理容器化应用程序的方式。Kubernetes的设计理念是容错性和易扩展性,它可以保证系统的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值